Wysysarka danych osobowych. Wykryto potężne dziury w zabezpieczeniach TikToka

fot: tiktok.pl

Eksperci z Check Point poinformowali, że znaleźli luki w zabezpieczeniach TikToka. Dzięki nim hakerzy mogli bez trudu przejąć kontrolę nad kontami użytkowników, kasować i wysyłać treści oraz… puszczać w świat ich dane osobowe, takie jak adres e-mail.

W jaki sposób? Z oficjalnej strony aplikacji można wysłać wiadomość tekstową z hiperłączem, prowadzącym do strony, z której można pobrać TikToka na swojego smartfona. Hakerzy znaleźli jednak lukę, dzięki której w miejsce apki pojawiał się złośliwy kod. Po kliknięciu w nią przez użytkownika, uzyskiwali dostęp do jego konta.

Check point poinformował, że przekazał swoje spostrzeżenia TikTokowi i błąd został usunięty. Platforma szybko wydała też stosowne oświadczenie:

Nie zmienia to faktu, że tego typu sytuacja nie powinna w ogóle się zdarzyć. W listopadzie ubiegłego roku właściciel apki firma ByteDance podała, że jej oprogramowanie zostało ściągnięte na urządzenia mobilne 1,5 mld razy. Za tą liczbą idzie już dość konkretna odpowiedzialność. A TikTok dał właśnie sygnał, że jeszcze nie do końca sobie z nią radzi.

Wpadka chińskie firmy raczej nie pomoże w budowaniu pozytywnego wizerunku, a ten jest jej dzisiaj potrzebny firmie jak powietrze. W październiku ubiegłego roku Komitet ds. Inwestycji Zagranicznych w USA (CFIUS) wszczął dochodzenie w sprawie potencjalnych naruszeń prywatności użytkowników aplikacji.

Ledwo miesiąc później apką zainteresowała się amerykańskie wojsko. Sekretarz Armii USA, Ryan McCarthy dostał polecenie od senatora Chucka Schumera, by zbadać, czy ByteDance nie wynosi danych jego rodaków na serwery w Państwie Środka. Firma oczywiście temu zaprzecza, twierdząc, że centra danych znajdują się poza Chinami.

Choć dowodów na winę TikToka wciąż nie ma, nieformalny wyrok już zapadł. Przedstawiciele amerykańskiej marynarki wojennej uznali aplikację za zagrożenie dla cyberbezpieczeństwa i ogłosili, że żołnierze, którzy mają ją na swoich smartfonach stracą dostęp do intranetu. Wcześniej dowództwo kadetów armii USA nakazało jednostkom, aby te nie korzystały z TikToka w celach oficjalnych.

ByteDance może się więc poważnie obawiać, że Amerykanie zmuszą go do podążenia drogą Beijing Kunlun Tech. Ta chińska spółka została zmuszona do sprzedaży udziałów w aplikacji randkowej dla mniejszości o nazwie Grindr. CFIUS dał jej czas do czerwca 2020 r. Jeżeli Bejing Kunlun Tech się zastosuje się do tej decyzji, akcje tymczasowo przejdą na własność funduszu powierniczego. Podobny scenariusz w przypadku TikToka, który jest jedną z najdynamiczniej rozwijających się aplikacji na świecie, byłby dla Chińczyków potężnym ciosem.